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Abstract of FR2775399 

In a message exchange between an emitter and a user, the message is digitally signed. By allowing 
the emitter to see a part of the message, the complete blindness of the signatory is avoided and he is 
permitted to see a part of the signature. The signature is called blind. The user sends only a part of the 
message to the emitter sign. The emitter can then incorporate the part of the signal in the information 
elements necessary for recognition of the signal which once produced, can only be verified, with the 
help of the entire message, of which a part has been seen by the emitter. 
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@) PROCEDE DE SIGNATURE NUMERIQUE BORGNE. 




. Proc^de de signature numerique. 
Par un ^change d'informations entre un ^metteur et un 
utitisateur, mettant en jeu un message, on constltue une si- 
gnature. En permettanta I'femetteurde prendre connaissan- 
ce d'une partie du message, on 6vite la cecit6 complete du 
signataire et on lui permet de reconnaitre une partie de la si- 
gnature. La signature obtenue est alors dite " borgne ". 
Application au paiennent diectronique. 
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PROCEDE DE SIGNATURE NUMERIQUE BORGNE 

DESCRIPTION 

5 Domalne t;6chnique 

La presente invention a pour objet un procede de 
signature numerique. Ce procede comprend/ d'une part/ 
une operation de retrait et d' autre part, une operation 
de presentation de la signature. 
10 L' invention trouve une application notaminent dans 

le paiement electronique - 

E'ba'b de la t:echn±que arxterleure 

Un concept particulier de signature numerique, dit 

15 signature aveugle, a ete introduit par D. CHAUM dans un 
article intitule "Blind Signatures for Untraceable 
Payments" publie dans "Proceedings of CRYPTO '82, Plenum 
Press, 1983, pp. 199-203. 

Un protocole de signature aveugle est un protocole 

20 cryptographs que mettant en jeu deux entites, un 
"utilisateur et un "emetteur", 1 ' utilisateur faisant 
signer un message a I'emetteur, de telle maniere que ce 
dernier n'obtienne aucune information sur le contenu du 
message qu'il signe. De plus, apres avoir signe 

25 plusieurs messages, l*emetteur est incapable, a la vue 
d'une signature qu'il a contribue a creer, de 
determiner lors de quelle execution du protocole cette 
signature a ete obtenue. 

Les protocoles de signature aveugle sont utilises 

30 dans des applications necessitant I'anonymat, telles 
que les elections electroniques ou la monnaie 
electronique. Dans les systemes de paiement 
electronique anonyme, 1* expression "piece electronique" 
designe une donnee signee numeriquement par la banque 

35 (I'emetteur de monnaie electronique). La fonction de 
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signature utilis6e par la banque determine la valeur 
faciale de la piece. Lors d'une phase dite de 
"retrait", 1 * utilisateur (le client) achate ces pieces 
electroniques . Pour garantir l^anonymat^ les pieces 
retirees par 1 ' utilisateur doivent etre inconnues de la 
banque. A cette fin, cette derniere signe de maniere 
aveugle des donnees que 1 * utilisateur cree de maniere 
secrete. L ' utilisateur se trouve ainsi en possession de 
pieces valides que la banque elle-meme est incapable 
d'associer a 1 ' utilisateur qui les a retirees. 
L'anonymat est parfait. Le paiement correspond ensuite 
a un transfert de pieces electroniques du client au 
commerpant. Ce dernier contacte alors la banque (cas du 
paiement en ligne) ^ laquelle conserve, dans sa base de 
donnees, toutes les pieces non expirees qui ont dejS 
ete depensees, pour s' assurer que les pieces qui lui 
sont presentees n'ont pas deja ete depensees lors d*une 
transaction anterieure. Les commergants deposent 
ensuite a la banque, lors de la phase dite de "remise", 
les pieces qu'ils ont regues en paiement, pour 
compensation de leur valeur. 

Divers modes de mise en oeuvre d*une signature 
aveugle ont ete developpes et decrits. On peut en 
trouver des exemples notamment dans 1' article de D. 
CHAUM et T.P. PEDERSEN, intitule "Wallet Databases with 
Observers", publie dans Proceedings of Crypto '92, 
Lecture Notes in Computer Science, vol. 740, Springer 
Verlag, pp. 89-105, ainsi que dans 1' article de T. 
OKAMOTO, intitule "Provably Secure and Practical 
Identification Schemes and Corresponding Signature 
Schemes", publie dans Proceedings of Crypto* 92, Lecture 
Notes in Computer Science, vol. 740, Springer Verlag, 
pp. 31-53, Le protocole d ' authentif ication de Schnorr, 
dont derivent les protocoles de signature aveugle 
utilises dans les articles -ci-dessus, est lui-meme 
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decrit dans 1' article de CP. SCHNORRr intitule 
"Efficient Signature Generation by Smart Cards", publie 
dans Journal of Cryptology, 4(3) 1991, pp. 161-164. 

Dans le protocole d * authentif ication de SCHNORR, 
et dans les schemas de signature aveugle qui en 
derivent, I'emetteur E choisit au hasard une clef 
secrete Sgt calcule une clef publique P = g *^ , ou g est 

un element generateur connu de tous. Puis I'entite E 
publie sa clef publique P de fa?on que chacun la 
connaisse comme etant associee a I'identite de £. La 
clef publique P ne permet pas de retrouver la clef 
secrete Se que seul E connalt. En effet, la fonction 
exponentielle , qui permet de passer de S£ a P, est 
dif f icilement inversible (la taille des parametres est 
choisie de faq:on que le temps necessaire pour retrouver 
Se a partir de P soit trop long pour les ordinateurs 
disponibles a 1 ' epoque de la mise en oeuvre du 
protocole) . 

Dans le schema d ' authentif ication de SCHNORR, 
l*entite E prouve a une entite utilisatrice U qu'elle 
connalt la clef secrete Se sans toutefois reveler celle- 
ci. Cette preuve constitue pour E un moyen de 
s * authentif ier aupres de 1 ' utilisateur U. 

Ce protocole d' authentif ication comprend une 
premiere operation ou I'emetteur choisit au hasard un 
nombre x dans le groupe Z^, c*est-a-dire dans le corps 
des entiers modulo q ou q est un nombre premier 
(autrement dit x est compris entre 1 et q-I) et eleve 
son generateur g ^ la puissance jc pour constituer un 
nombre / qui va lancer le protocole d* authentif ication. 
Ce nombre / est transmis a 1 ' ut ilisateur qui poursuit le 
protocole en choisissant au hasard un nombre c dans Zq 
et en le transmettant a I'emetteur, qui calcule alors 
une reponse appropriee en utilisant sa clef secrete Se 
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que lui seul connait. Cette clef n'est evidemment pas 
transmise en I'etat mais masquee par ie nombre x que 
I'emetteur seul connait. La reponse est alors y^x-cSj,. 

L ' utilisateur traite cette reponse en calculant, ^ 
qui n'est autre que g^'""^^^ , soit g'g'"^^ . L ' utilisateur 
peut calculer aussi , soit g""^" , de sorte que le 
produit g'P' est egal a g^g'^'^'g'^', c'est-a-dire 
finalement r. 

La verification de I'egalite entre t et ^P^ prouve 
a 1 ' utilisateur que I'emetteur connait bien la clef 
secrete 5£. Par ailleurs, cette preuve est .apportee sans 
que la clef Se ait ete r§velee a 1 ' utilisateur . Le 
protocole peut done se repeter autant de fois que I'on 
veut, a condition de changer le nombre x a chaque fois. 

On peut illustrer un tel protocole par un tableau, 
(representation qui sera utilisee constaiment dans la 
suite de la description) dans lequel la notation Zq 
designe le corps des entiers modulo 9, les fleches 
horizontales symbolisent la transmission de nombre (s) 
d'une entite a 1' autre, une equation avec un point 

d* interrogation au-dessus du signe 6gal (=) signifie 
que 1* entite verifie que les deux membres de I'egalite 
sont bien egaux. Avec ces conventions, le protocole 
d* authentif ication qui vient d'etre decrit, peut etre 
represents par le Tableau I ci-apres. 
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U 



clef secrete : Se 

clef publique : P = g^^ 



15 



choisit X dans Zq 
calcule t - 

t 



Y 0 choisit c dans Zq 

c 

< 

y-X'CSE 



Tableau I 



Ce protocole constitue une preuve de connaissance 
par I'emetteur de la clef secrete. On peut lier cette 

20 preuve k un message de facpon a ce que ce protocole 
constitue en meme temps une signature a du message m. 
En toute rigueur^ I'emetteur E ne meriterait pas 
vraiment le nom de "signataire" , car il ne peut etre 
tenu pour responsable du message signe m puisqu'il 

25 1* ignore. C'est neanmoins la terminologie usuelle. 

Un schema de signature aveugle de ce type peut 
etre iilustre par le Tableau II avec les memes 
conventions, ou m est le message a signer. Dans ce 
schema, 1 ' utilisateur choisit en outre au hasard deux 

30 nombres u et v dans Zq, et calcule un nombre t a partir 
du nombre t qu'il a regu de I'emetteur, du generateur g 
de I'emetteur qui est connu de tous et de la clef 
publique P de ce meme emetteur et en utiiisant ies 
nombres u et v comme exposants, soit t = tg'P". 
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L' utilisateur choisit ensuite un nombre c, dit 
challenge, compris dans Zq ec masque ce challenge en 
lui soustrayant le nombre u connu de lui seul pour 
obtenir un challenge masque c=c— w, L ' utilisateur 
transmet le challenge masque c a I'emetteur. 



U 



clef secrete : Se 
10 clef pubiique : P = g^'' 



message : m 



15 



choisit X dans Zq 
calcule t = g' 



choisit u, V dans Zq 
calcule t = tg'P" 

calcule C'^'Hit, m) 
calcule c — c—u 



2 0 calcule y = x- cS^. 



25 



calcule y =: y+ V 
i=g'P' 

obtient la signature (J^(y» c, m) 



Tableau II 



Dans ce protocole, H est une fonction de hachage 
(ou de condensation) connue de tous. La signature a 
30 finalement obtenue est constituee par 1 ' ensemble des 
nombres y, c et m. Une telle signature ne peut etre 
reconnue par I'emetteur qui ne peut calculer ni y, ni c, 
puisqu'il ignore les parametres de masquage u et v et 
ne peut reconnaitre le message m, qu*il n'a jamais vu. 
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Les applications de la signature aveugle sont 
assez limitees, sauf ^ lui associer d'autres 
protocoles. Le but de la presente invention est 
5 justement de remedier a cet inconvenient pour elargir 
le champ d ' application de tels protocoles. 

Expose de 1 ' Invexi'bxon 

A cette fin, 1* invention propose un proced6 dans 

10 lequel I'emetteur prend connaissance d ' une partie du 
message a signer. Sa cecite n'est done plus totale mais 
partielle. On dira que le signataire, et par extension 
la signature, est "borgne" . 

De fagon plus precise, la presente invention a 

15 pour objet un precede de retrait de signature numerique 
dans lequel une entite dite "emetteur" {E) echange avec 
une entite dite "utilisateur " [U) des informations 
selon un protocole permettant a 1 ' utilisateur d'obtenir 
une signature (a) d'un message (p) a 1 ' elaboration de 

20 laquelle I'emetteur a collabore mais sans que ce 
dernier puisse la retrouver a partir des elements 
connus de lui lors de ces echanges ni la lier, 
lorsqu'elle lui est presentee a posteriori, au retrait 
dont elle provient si I'emetteur a emis plusieurs 

25 signatures, ce precede etant caracterise par le fait 
que 1 * utilisateur ne communique a I'emetteur qu'une 
partie {M) du message a signer, partie que ce dernier 
incorpore dans des elements d ' information necessaires a 
1 • elaboration de la signature, qui une fois produite ne 

30 peut etre verifiee qu'a I'aide du message (u) entier, 
dont la partie (M) qui a ete vue par I'emetteur. 

L' invention a egalement pour objet un precede de 
presentation d'une signature borgne obtenue par le 
precede qui vient d'etre defini, a une entite tierce 

35 dite "tiers" qui verifie cette signature. 
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£3cpose det:axlle de modes partlculiers de realisation 

Dans tous ce qui suit on se placera dans un groups 
Gq cyclique d'ordre q, ou q est un entier premier, et 
5 dans lequel la determination du logarithme est un 
probleme difficile : trouver x, s'il existe, tel que 
(f-b est difficile. 

Un exemple de retrait de signature borgne conforme 
a 1' invention va d'abord etre decrit. II s'apparente au 

10 schema de signature aveugle expose plus haut (Tableau 
II). Mais selon l*invention/ le message a signer 
comprend deux parties, une premier partie M qui sera 
rendue visible a I'emetteur et une seconde partie m qui 
restera invisible (ou masquee) pour celui-ci. Dans 

15 1' exemple decrit, I'emetteur E possede une clef secrete 
Se et deux clefs publiques Pi, P2 associees a cette meme 
clef secrete par deux nombres generateurs g/ et ; on a 
done : 

20 

A la difference du schema de signature aveugle 
decrit plus haut (Tableau ID, 1 * utilisateur transmet a 
I'emetteur, au debut du procede, la partie visible M du 
message et I'emetteur insere cette partie du message 
25 dans ses parametres, par exemple en calculant un nombre 
generateur gM defini a partir des generateurs g\ et g2 
par gM^st'g? • 

C'est ce nombre gM qui servira alors a calculer le 
nombre / et non plus le nombre g comme dans le tableau 
30 II. En tirant encore un nombre x au hasard, I'emetteur 
calculera glf et non plus g' . 

La suite des operations restera sensiblement la 
meme, a cette difference que 1 ' ut ilisateur devra 
reconstituer le nombre / en tenant compte de la 
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particularite de (et non plus de t) . Les operations 
detaillees sont alors ceiles du tableau III. 



U 



10 



15 



20 



25 



clef secrete : Se 

clefs publiques : Pi, P2 

generateurs : gi, g2 



calcule = g} 

choisit X dans Zq 
calcule = g'l, 



calcule j) = X — cS,: 



M 



M 



message // ; 
partie visible : M 
partie invisible . m 



calcule = Pt' P2 
choisit u, V dans Zq 
calcule t^^ = i^gM^i 
calcule c^HOm, M, m) 
calcule c - c - u 



calcule y = jp -f V 
/ =p^ P'' 

obtient la signature (J=(y, c. A/, m) 



Tableau III 



30 La signature obtenue est formee des deux nombres y 

et Cf connus du seul utilisateur, et du message p=(A/, 

m), dont la premiere partie seule, M, est connue de 
1 ' emetteur . 
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L * exploitation de cette signature s*effectue par 
un protocole de presentation aupres d'une trcisieme 
entite dit "Tiers" et notee T, Ce tiers calcule d'abord 
le produit gifP^ ^ autrement dit [g^ gi) (Pf P2) * ^e calcul 

est possible puisque le tiers regoit y, c et M par la 
signature et qu'il connait les clefs publiques Pi, P2 
ainsi que les generateurs gi, g2 de I'emetteur. Ce 
produit, qui n'est autre que le nombre calcule par 
1 ' utilisateur lors du retrait de la signature, permet 
au tiers de reformer la f onction H(tM, M, m) et de 
verifier si le resultat est bien le nombre c contenu 
dans la signature. 

Ce protocole de presentation est illustre par le 

tableau IV suivant : 

U T 

•=(y, c, A/, m) ^ = gifPj^ 

c^H(t^,. M, m) 



Tableau IV 



Le precede qui vient d'etre decrit peut 
s'appliquer au paiement electronique . Dans le cas d'un 
systeme de paiement, I'emetteur emet des signatures 
representant des pieces elect roniques . Les utilisateurs 
les emploient pour payer aupres des commergants, 
lesquels jouent le role de tiers verif icateurs . La 
presentation de la piece electronique peut done 
s'assimiler a un paiement. Ces pieces doivent pouvoir 
etre utilisees de fagon anonyme, comme la monnaie 
fiduciaire classique, ' ce qui impose 1 ' utilisation de 
signatures aveugles. 
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Avec une signature borgne conforme a 1' invention, 
la partie visible {M) du message peut contenir diverses 
informations, comme un montant maximal, les dates 
d' emission et d' expiration de la piece, un nombre 
5 maximal d * utilisations autorisees. La partie invisible 
m peut contenir des donn^es relatives au paiement, 
notamment I'identite du tiers (T) , la date et I'heure, 
la reference du bien achete. 

Pour remedier au probl^me de rendu de monnaie, une 

10 solution possible est d'emettre des pieces de montant 
faible, ou meme correspondant a la granularite de la 
monnaie (par exemple, des pieces de 1 centime 
exclusivement ) . Cependant, cette solution obligerait a 
emettre des quantites importantes de pieces. Une autre 

15 solution consiste k emettre des pieces utilisables 
plusieurs fois, et constitutes d'une signature borgne. 
La partie visible M du message peut alors contenir le 
nombre maximal d ' utilisations autorise et le montant 
maximal autorise pour 1 ' ensemble de ces utilisations. 

20 

Le procede de signature borgne qui vient d'etre 
decrit peut etre combine avec tout procede de signature 
"juste" dans lequel des traces du retrain et/ou de la 
presentation peuvent etre inserees dans les protocoles 

25 afin, le cas echeant, pour pouvoir retrouver 
1 ' utilisateur d*une piece donnee ou les pieces d'un 
utilisateur donne. En particulier, le procede de 
signature borgne de 1 * invention peut etre combine a un 
procede particulier de signature juste tel que celui 

30 qui est decrit et revendique dans la demande de brevet 
deposee le jour meme du depot de la presente demande 
par le present Demandeur, et intitulee "Procede de 
signature numerique juste". 

35 
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HETVENDICATIONS 



1. Precede de retrait de signature numerique/ dans 
lequel une entite dite "emetteur" (£) echange avec une 
entite dite "utilisateur" (U) des informations selon un 
protocole permettant a 1 ' utilisateur d'obtenir une 
signature (a) d'un message ^ 1 * elaboration de 
laquelle I'emetteur a collabore mais sans que ce 
dernier puisse la retrouver a partir des elements 
connus de lui lors de ces echanges ni la lier, 
lorsqu'elle lui est presentee a posteriori, au retrait 
dont elle provient si I'emetteur a emis plusieurs 
signatures, ce procede etant caracterise par le fait 
que 1 * ut ilisateur ne communique a I'emetteur qu*une 
partie (M) du message (//) a signer, partie que ce 
dernier incorpore dans des elements d ' information 
necessaires a 1 ' elaboration de la signature, qui une 
fois produite ne peut etre verifiee qu'a 1 ' aide du 
message (p) entier, dont la partie (M) qui a ete vue 
par I'emetteur. 

2. Procede selon la revendication 1, dans lequel : 

- I'emetteur (£) possede une premiere clef 
publique Pj, un premier element generateur 
public gt, et une clef secrete Se, avec =^ g)^ , 

I'emetteur possedant encore une seconde clef 
publique P2 et un second element generateur 
public g2, avec P^ g^' , les nombres PhPhgi et g2 

etant connus de 1 ' utilisateur (U) , 

- pour incorporer la partie (A/) du message (fi) 
qui lui est communiquee dans des elements 
d ' information necessaires a 1 ' elaboration de la 
signature, I'emetteur calcule un element gM 
defini par : 

~ Si S2 ' 
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— I'emetteur commen<?ant ensuite le protocole de 
signature en choisissant au hasard un nombre 
entier x, en calculant un nombre egal a , 
et en transmettant ce nombre a 

1 * utilisateur . 

3. Procede selon la revendication 2, dans lequel 
1 * utilisateur {V) , ayant re<?u le nombre , calcule un 
nombre Pm egal au produit , choisit au hasard deux 
nombres entiers u et v, calcule un nombre defini 
par : 

calcule un challenge (c) qui est une fonction de ce 
nombre et du message {f^={M,m)), soit c^H(tM. m) ou H 
est une fonction de hachage connue, puis calcule un 
challenge masque (c) egal a c-u et transmet ce challenge 
masque (c) a I'emetteur. 

4. Procede selon la revendication 3, dans lequel 
I'emetteur (£) , pour calculer la reponse appropriee au 
challenge masqu6 re?u (c), calcule un nombre y egal a 
y-x-cSf: et transmet ce nombre y a 1 ' utilisateur (U) . 

5. Procede selon la revendication 4, dans lequel, 
1 * utilisateur ((/) traite la reponse regue (>>) en 
calculant un nombre y defini par y^y-^v, calcule la 
quantite giiP^ verifie que cette quantite calculee 
coincide avec le nombre (m deja calcule, la signature 
(a) du message pouvant etre alors constituee par 
1 ' utilisateur en regroupant la reponse traitee y, le 
challenge c et le message (//=(Km)) ((T=(y. c, M, mj) . 

6. Procede de presentation d'une signature obtenue 
selon la revendication 5, comprenant les operations 
suivantes : 
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- 1 • utilisateur transmet la signature (a^(y, c, m)) 
a un tiers {T) , 

- le tiers (T) , a partir des noiubres A/ et c pris 
dans la signature (o) ainsi que des nombres 
generateurs gi, g2 et des clefs publiques P/, de 
I'emetteur {E) calcule un nombre Im ^gal a 

- a partir du nombre tM ainsi calcule et des 
premiere et seconde parties du message (M m) 
prises dans la signature, le tiers (7) calcule 
la quantite //|7a/. A/, m) et verifie que cette 
quantite coincide bien avec le challenge (c) 
pris dans la signature re?ue. 

7. Procede selon la revendication S, dans lequel 
la production d'une signature represente la creation 
d*une piece de monnaie electronique au profit de 
1 ' utilisateur {U) et la presentation de la signature 
represente un paiement electronique aupres du tiers 
(T) . 

8. Procede selon la revendication 7, dans lequel 
la partie (M) du message transmise a I'emetteur peut 
contenir des informations comme un montant maximal, une 
date d* emission, une date d' expiration, un nombre 
-maximal d ' utilisations autorisees . 

9. Procede selon la revendication 7, dans lequel 
la partie (m) du message non transmise a l*emetteur 
contient des donnees relatives au paiement, notamment 
I'identite du tiers {T) , la date et i'heure, la 
reference du bien achete. 



10. Procede selon la revendication 1, 
on insere dans la signature (a) une 



dans lequel 
information 
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permettant de retrouver la trace de son retrait aupres 
de 1' emetteur (E) . 

11. Precede selon la revendication 10/ dans lequel 
5 le tiers iT) auquel la signature (a) est presentee 
inclut, dans la signature, une information permettant 
de retrouver la trace de la presentation de la 
signature - 
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